Standardvertragsklauseln
Standardvertragsklauseln (SCC) sind von der EU-Kommission erlassene Mustervertragsklauseln, die ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss vertraglich absichern.
Standardvertragsklauseln (englisch Standard Contractual Clauses, SCC) sind von der Europäischen Kommission im Wege eines Durchführungsbeschlusses erlassene Muster für vertragliche Garantien nach Art. 46 Abs. 2 lit. c DSGVO. Sie ermöglichen die rechtmäßige Übermittlung personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem Drittland, für das kein Angemessenheitsbeschluss der Kommission vorliegt. Durch die Vereinbarung der Klauseln verpflichten sich Datenexporteur und Datenimporteur auf ein Datenschutzniveau, das dem der DSGVO im Wesentlichen gleichwertig ist, und räumen den betroffenen Personen durchsetzbare Rechte sowie wirksame Rechtsbehelfe ein.
Die seit dem 27. Juni 2021 geltende neue Generation der SCC (Durchführungsbeschluss (EU) 2021/914) löste die älteren Klauselsätze ab und folgt einem modularen Aufbau. Vier Module decken die typischen Konstellationen ab: Verantwortlicher an Verantwortlicher, Verantwortlicher an Auftragsverarbeiter, Auftragsverarbeiter an Auftragsverarbeiter sowie Auftragsverarbeiter an Verantwortlicher. Die Parteien wählen das passende Modul, befüllen die Anhänge mit Angaben zu den Beteiligten, der Verarbeitung und den technischen und organisatorischen Maßnahmen und dürfen den Wortlaut der Klauseln selbst nicht ändern. Eine sogenannte Docking-Klausel erlaubt den nachträglichen Beitritt weiterer Parteien.
Seit dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18 vom 16. Juli 2020) genügt der bloße Abschluss der SCC nicht mehr. Der Datenexporteur muss zusätzlich prüfen, ob das Recht und die Praxis im Bestimmungsdrittland - insbesondere staatliche Zugriffsbefugnisse der Behörden - die Wirksamkeit der Klauseln untergraben. Diese Prüfung erfolgt im Rahmen eines Transfer-Impact-Assessments; ergeben sich Schutzlücken, sind zusätzliche Maßnahmen technischer, organisatorischer oder vertraglicher Art (etwa starke Verschlüsselung oder Pseudonymisierung) zu treffen oder der Transfer ist auszusetzen. Die SCC sind damit Ausgangspunkt, nicht Endpunkt einer rechtskonformen Drittlandübermittlung.
Rechtliche Grundlage
Art. 46 Abs. 2 lit. c DSGVO; Durchführungsbeschluss (EU) 2021/914 der Kommission; EuGH, Urteil vom 16.07.2020, C-311/18 (Schrems II)
Praxisbeispiel
Ein deutsches Unternehmen nutzt einen Cloud-Dienstleister mit Serverstandort in den USA. Da für den Anbieter kein Angemessenheitsbeschluss greift bzw. dieser nicht unter dem EU-U.S. Data Privacy Framework zertifiziert ist, schließt die Datenschutzbeauftragte das Modul "Verantwortlicher an Auftragsverarbeiter" der SCC ab, befüllt die Anhänge mit der Verarbeitungsbeschreibung und den vereinbarten TOM und dokumentiert ein Transfer-Impact-Assessment. Weil US-Überwachungsgesetze ein Restrisiko begründen, ergänzt sie die Klauseln um eine Ende-zu-Ende-Verschlüsselung, bei der ausschließlich das Unternehmen die Schlüssel verwaltet.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren